本次搭建拓撲圖如上
一���、 Openvpn軟件下載安裝
軟件下載
OPENVPN服務(wù)端安裝包可咨詢愛陸通5G工業(yè)網(wǎng)關(guān)/路由器技術(shù)人員獲取�,物聯(lián)網(wǎng)安全組網(wǎng)需求旺盛����,基于5G工業(yè)VPN網(wǎng)關(guān)/路由器的VPN組網(wǎng)解決方案更加靈活方便���。但傳統(tǒng)VPN方案成本高技術(shù)難度大����,因此基于Windows的低成本自建OPNEVPN方案受到用戶的喜愛,解決了很多中小型項目的組網(wǎng)安全需求�����,方案中穩(wěn)定可靠的5G工業(yè)網(wǎng)關(guān)/路由器起到了關(guān)鍵性作用����。
軟件安裝
openvpn軟件服務(wù)端和客戶端都是同一個安裝包����,本次演示windows服務(wù)端安裝并附帶證書生產(chǎn)工具EasyRSA3,使用的openvpn安裝包為2.5.7版本��。
安裝的時候要選擇Customize���,勾選openvpn service和EasyRSA3 安裝���,用于服務(wù)端配置和證書生成使用����。
切記將安裝的默認位置更改為非C盤�,否則會影響后續(xù)的證書生成�,此次安裝在D盤。
安裝完成后軟件位置D: OpenVPN目錄
二、 證書密鑰生成
(示例為無密碼版本���,需要帶密碼版本聯(lián)系愛陸通技術(shù)支持)
準(zhǔn)備CA簽發(fā)機構(gòu)環(huán)境
在“D:OpenVPNeasy-rsa”目錄下,將名為“vars.example”的文件復(fù)制到名為“vars”的文件�����?�!皏ars”文件包含內(nèi)置的 Easy-RSA 配置設(shè)置��。后續(xù)證書生成按照該文件的配置進行生成���。
主要修改以下參數(shù)
COUNTRY定義所在的國家�。
PROVINCE定義所在的省份����。
CITY定義所在的城市。
ORG定義所在的組織����。
EMAIL定義郵箱地址。
OU定義所在的單位���。
更改完后保存�����,雙擊打開EasyRSA-Start.bat文件,進入EasyRSA shell 環(huán)境dos窗口中;彈出的dos窗口中輸入./easyrsa init-pki 初始化證書生成程序���,初始化成功后會在D: OpenVPNeasy-rsa目錄下新建文件夾kpi,如下圖示:
生成CA公共證書
在dos窗口中輸入./easyrsa build-ca nopass生成無密碼CA證書�����,生成過程中會要求輸入證書名稱��,隨意輸入即可����,本次使用CA作為名稱����,生成結(jié)束后會打印出證書所在目錄D: OpenVPNeasy-rsapkica.crt�����;
生成服務(wù)端證書密生成
輸入./easyrsa build-server-full server nopass 生成名稱為server的無密碼服務(wù)端證書,生成后證書文件D: OpenVPNeasy-rsapkiissued文件夾
生成客戶端證書密鑰
輸入./easyrsa build-client-full client nopass生成名稱為client的無密碼客戶端證書,生成后證書在D: OpenVPNeasy-rsapkiissued文件夾
后續(xù)如需添加其他客戶端�����,只需雙擊打開EasyRSA-Start.bat文件�����,直接輸入./easyrsa build-client-full client2 nopass���,無需做其他操作��。標(biāo)紅為相應(yīng)的證書名,區(qū)分不同客戶端,做到一機一證書。如下圖所示
生成DH密鑰交換協(xié)議
輸入./easyrsa gen-dh生成DH密鑰交換協(xié)議文件,生成文件在D: OpenVPNeasy-rsapki目錄下
目錄D: OpenVPNeasy-rsapkiprivate下為證書key
三����、 windows服務(wù)端配置
搭建OpenVPN服務(wù)器需要公網(wǎng)IP,或者在專網(wǎng)環(huán)境下固定的IP地址,可在具有OpenVPN服務(wù)器功能的路由器上搭建,也可在開啟端口映射后的Windows電腦上搭建�,本次示范為電腦上搭建。
(示例為UDP模式����,如需TCP模式可參考附錄OpenVPN server端配置文件詳細說明,或咨詢我司技術(shù)支持)
修改服務(wù)端配置文件
服務(wù)端配置文件模板為server.ovpn �,在 D: OpenVPNsample-config目錄下����。復(fù)制server.ovpn文件至D: OpenVPNconfig目錄下,用windows自帶的記事本打開修改為如下配置:
下圖為注釋�����,其他配置詳細注釋請看附錄OpenVPN server端配置文件詳細說明
在D: OpenVPNconfig目錄下創(chuàng)建一個ccd文件夾���,在文件夾下創(chuàng)建無后綴文件,文件名與客戶端證書名一一對應(yīng)�����,文件內(nèi)輸入子網(wǎng)段及指定隧道ip如下圖所示:
證書復(fù)制進配置
將服務(wù)證書�����,服務(wù)key,ca證書����,dh文件復(fù)制到文件夾D: OpenVPNconfig下
共享網(wǎng)絡(luò)至VPN虛擬網(wǎng)卡
連接
右鍵點擊任務(wù)欄帶鎖小電腦圖標(biāo),點擊連接���,連接成功后會變綠�����,系統(tǒng)提示分配ip
四��、 5G工業(yè)OPENVPN工業(yè)網(wǎng)關(guān)/路由器客戶端配置
導(dǎo)入客戶端密鑰����、客戶端證書�、CA證書
按下圖進行配置
5G工業(yè)OPENVPN網(wǎng)關(guān)/路由器本地時間同步,客戶端與服務(wù)端時間不同步會導(dǎo)致無法進行交互
五�����、 驗證
愛陸通5G工業(yè)openvpn網(wǎng)關(guān)/路由器連接成功狀態(tài)
服務(wù)端ping客戶端子網(wǎng)
客戶端ping服務(wù)端子網(wǎng)
完美實現(xiàn)多臺愛陸通5G工業(yè)OPENVPN網(wǎng)關(guān)/路由器和自建Windows OPENVPN服務(wù)器的安全連接和子網(wǎng)互通����。
